[c=darkblue]Hallo,
nachdem ich nun alle Tipps und Hinweis zu diesem von mir eingebrachten Thema durchgearbeitet habe, bitte ich noch einmal um Unterstützung.
Bei meinem Windows 98SE gibt es kein Verzeichnis Prefetch.
Die Dateien, die auf der italienischen Seite angegeben sind, finde ich bei mir auch nicht.
Bei mir ist dieser komische Dialer immer noch aktiv und ich habe jetzt HijackThis (hjt) ausprobiert, nachdem ich die Registry gesichert habe.
Vielleicht kann jemand zu den hjt –Ergebnissen etwas schreiben. Ich bin mir nicht sicher, ob ich in der Registry herumpfuschen soll.
Was mir schon vor hjt aufgefallen war, ist der laufende Prozess .../shch.exe. Kennt das jemand ? Kann man irgendwie rauskriegen, wann so ein Registryeintrag gemacht wurde ?
Nachstehend die hjt – Ergebnisse:[/color]
Logfile of HijackThis v1.98.2
Scan saved at 22:19:35, on 04.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\\WINDOWS\\SYSTEM\\KERNEL32.DLL
C:\\WINDOWS\\SYSTEM\\MSGSRV32.EXE
C:\\WINDOWS\\SYSTEM\\MPREXE.EXE
C:\\WINDOWS\\SYSTEM\\mmtask.tsk
C:\\WINDOWS\\EXPLORER.EXE
C:\\WINDOWS\\TASKMON.EXE
C:\\WINDOWS\\SYSTEM\\SYSTRAY.EXE
C:\\WINDOWS\\SYSTEM\\STIMON.EXE
C:\\PROGRAMME\\LOGITECH\\MOUSEWARE\\SYSTEM\\EM_EXEC.EXE
C:\\PROGRAMME\\AVPERSONAL\\AVGCTRL.EXE
[c=red]C:\\WINDOWS\\SHCH.EXE[/color]
C:\\WINDOWS\\RunDLL.exe
C:\\WINDOWS\\SYSTEM\\WMIEXE.EXE
C:\\WINDOWS\\SYSTEM\\RNAAPP.EXE
C:\\WINDOWS\\SYSTEM\\TAPISRV.EXE
E:\\PROGRAMME\\HIJACKTHIS_198\\HIJACKTHIS.EXE
R1 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Search Bar =
http://www.lycos.de/search/msie40.html
R1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Default_Page_URL =
http://www.lycos.de/
R1 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\\PROGRAMME\\ADOBE\\ACROBAT 5.0\\READER\\ACTIVEX\\ACROIEHELPER.OCX
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\\PROGRA~1\\0190WA~1\\WHELPER1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\\WINDOWS\\SYSTEM\\MSDXM.OCX
O4 - HKLM\\..\\Run: [ScanRegistry] C:\\WINDOWS\\scanregw.exe /autorun
O4 - HKLM\\..\\Run: [TaskMonitor] C:\\WINDOWS\\taskmon.exe
O4 - HKLM\\..\\Run: [SystemTray] SysTray.Exe
O4 - HKLM\\..\\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\\..\\Run: [StillImageMonitor] C:\\WINDOWS\\SYSTEM\\STIMON.EXE
O4 - HKLM\\..\\Run: [EM_EXEC] C:\\PROGRA~1\\LOGITECH\\MOUSEW~1\\SYSTEM\\EM_EXEC.EXE
O4 - HKLM\\..\\Run: [mdac_runonce] C:\\WINDOWS\\SYSTEM\\runonce.exe
O4 - HKLM\\..\\Run: [DMX Mixer] C:\\PROGRAMME\\DMX\\CONTROLPANEL\\DMXMIXER.EXE /Minimize
O4 - HKLM\\..\\Run: [0190 Warner] C:\\PROGRA~1\\0190WA~1\\WARN0190.EXE
O4 - HKLM\\..\\Run: [AVGCtrl] C:\\PROGRAMME\\AVPERSONAL\\AVGCTRL.EXE /min
O4 - HKLM\\..\\Run: [SyncManager] C:\\WINDOWS\\cApp.exe /i
[c=red]O4 - HKLM\\..\\Run: [WinAmpAgent] C:\\WINDOWS\\shch.exe /i[/color]
O4 - HKLM\\..\\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\\..\\RunServices: [Mass Storage Check Registry] rundll32.exe C:\\WINDOWS\\SYSTEM\\ShellExt\\MSDServ.dll,CheckRegistry
O4 - HKCU\\..\\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\\..\\Run: [Update Service] C:\\PROGRA~1\\GEMEIN~1\\TEKNUM~1\\UPDATE.EXE /startup
O4 - Startup: AOL 7.0 Tray-Symbol.lnk = C:\\Programme\\AOL 7.0\\aoltray.exe
O4 - Startup: Microsoft Office.lnk = C:\\Programme\\Microsoft Office\\Office\\OSA9.EXE
O4 - Startup: Adobe Gamma Loader.lnk = C:\\Programme\\Gemeinsame Dateien\\Adobe\\Calibration\\Adobe Gamma Loader.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\\WINDOWS\\web\\related.htm
O9 - Extra \'Tools\' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\\WINDOWS\\web\\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\\WINDOWS\\SYSTEM\\Shdocvw.dll
O12 - Plugin for .de/search?hl=de&q=wood+bliss+1&btnI=Auf+gut+Glück!&meta=lr=lang_de: C:\\PROGRA~1\\INTERN~1\\PLUGINS\\nppdf32.dll
O12 - Plugin for .pdf: C:\\PROGRA~1\\INTERN~1\\PLUGINS\\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=
http://www.lycos.de/
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) -
http://tools.ebayimg.com/eps/activex/EP ... _v1-32.cab
[c=darkblue]Automatische Auswertung von hjt:[/color]
Logfile of HijackThis v1.98.2
Gut
Zeigt die Version von HijackThis an. Neuste Version: v1.98.2!
Ihre Version sollte aktuell sein. (v1.98.2)
MSIE: Internet Explorer v6.00 (6.00.2600.0000) Eventuell veraltet Zeigt die Version des InternetExplorers an. Neuste Version: 6.00.2800.1106! Ihre Version (6.00.2600.0000) ist veraltet. Besuchen Sie Windowsupdate um Ihren Browser zu aktualisieren!
C:\\WINDOWS\\SYSTEM\\MSGSRV32.EXE Gut Laufender Prozess. (MSGSRV32.EXE)
Systemprozess - Windows Message Server
C:\\WINDOWS\\SYSTEM\\MPREXE.EXE Gut Laufender Prozess. (MPREXE.EXE)
Systemprozess - Erlaubt mehr als einen Netzwerkclienten und 95, 98 oder ME einzurichten.
C:\\WINDOWS\\EXPLORER.EXE Gut Laufender Prozess. (EXPLORER.EXE)
Systemprozess für Desktop und Taskleiste.
C:\\WINDOWS\\TASKMON.EXE Gut Laufender Prozess. (TASKMON.EXE)
Systemprozess - Application that is used to collect information from hard disksby monitoring the most frequently used programs.
C:\\WINDOWS\\SYSTEM\\SYSTRAY.EXE Gut Laufender Prozess. (SYSTRAY.EXE)
Systemprozess - Background application that runs the Windows system tray, which provides space to display the clock time and icons installed by other applications.
C:\\WINDOWS\\SYSTEM\\STIMON.EXE Gut Laufender Prozess. (STIMON.EXE)
Systemprozess - Application that provides one-touch scanning for a scanner. The application is automatically started through registry settings.
C:\\PROGRAMME\\LOGITECH\\MOUSEWARE\\SYSTEM\\EM_EXEC.EXE Gut Laufender Prozess. (EM_EXEC.EXE) Nicht gefährlich aber unnötig.
C:\\PROGRAMME\\AVPERSONAL\\AVGCTRL.EXE Gut Laufender Prozess. (AVGCTRL.EXE)
AntiVir Personal
[c=red]C:\\WINDOWS\\SHCH.EXE Unbekannt Laufender Prozess. (SHCH.EXE) Dies ist ein unbekannter Prozess.[/color]
C:\\WINDOWS\\RunDLL.exe Gut Laufender Prozess. (RunDLL.exe)
Unter Windows98 ist dieser Prozess normal. Bei einer neueren Version kann es ein Virus sein.
C:\\WINDOWS\\SYSTEM\\WMIEXE.EXE Gut Laufender Prozess. (WMIEXE.EXE)
Systemprozess - Application that gives a standard method of accessing system information, performance information, event monitors, and application monitors. The application works as a transparent task.
C:\\WINDOWS\\SYSTEM\\RNAAPP.EXE Gut Laufender Prozess. (RNAAPP.EXE)
Systemprozess - Windows Dial-Up Networking application that handles dial-up modem connections.
C:\\WINDOWS\\SYSTEM\\TAPISRV.EXE Gut Laufender Prozess. (TAPISRV.EXE)
Systemprozess - Background service that provides Windows Telephony (TAPI) Support in Windows 98 and Windows NT 4.
E:\\PROGRAMME\\HIJACKTHIS_198\\HIJACKTHIS.EXE Gut Laufender Prozess. (HIJACKTHIS.EXE)
Tool, mit dem sie dieses Logfile erzeugt haben. Bedenken Sie, dass HijackThis in einem eigenen Ordner laufen muss. Nur so können Backups erstellt werden!
R1 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Search Bar =
http://www.lycos.de/search/msie40.html Böse Einträge mit solchen Seiten, sollten immer gefixt werden. Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
R1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Default_Page_URL =
http://www.lycos.de/ Eventuell Böse Diese Seite könnte böse sein! Wenn Sie die Seite \'
http://www.lycos.de/\' nicht kennen, sollte der Eintrag entfernt werden.
R1 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Window Title =
Microsoft Internet Explorer bereitgestellt von Lycos Europe Gut Dieser Eintrag wurde als Gut identifiziert!
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\\PROGRAMME\\ADOBE\\ACROBAT 5.0\\READER\\ACTIVEX\\ACROIEHELPER.OCX Gut Einige Programme sind hier schlecht. Das eingegebene Programm ([06849E9F-C8D7-4D59-B87D-784B7D6BE0B3] - Treffer: 06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) wurde überprüft. Trefferquote: 99 %
O2 - BHO: 0190/0900 Warner Browser Helper -
{D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\\PROGRA~1\\0190WA~1\\WHELPER1.DLL Gut Einige Programme sind hier schlecht. Das eingegebene Programm ([D2F63D33-C571-41E9-9525-A17CA1804D3B] - Treffer: D2F63D33-C571-41E9-9525-A17CA1804D3B) wurde überprüft. Trefferquote: 99 %
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\\WINDOWS\\SYSTEM\\MSDXM.OCX Gut Einige Programme sind hier schlecht. Das eingegebene Programm ([8E718888-423F-11D2-876E-00A0C9082467] - Treffer: 8E718888-423F-11D2-876E-00A0C9082467) wurde überprüft. Wenn der Name aus zufälligen Zeichen besteht, sich im Verzeichnis \'Application Data\' (Anwendungsdaten) befindet und die Art \'Unbekannt\' ist, fixen. Trefferquote: 99 %
O4 - HKLM\\..\\Run: [ScanRegistry] C:\\WINDOWS\\scanregw.exe /autorun Gut Zum eingegebenen Programm ScanRegistry haben wir folgendes Programm gefunden: ScanRegistry. Trefferquote: 94 % (Resultate)
O4 - HKLM\\..\\Run: [TaskMonitor] C:\\WINDOWS\\taskmon.exe Gut Zum eingegebenen Programm TaskMonitor haben wir folgendes Programm gefunden: TaskMonitor. Trefferquote: 99 % (Resultate)
O4 - HKLM\\..\\Run: [SystemTray] SysTray.Exe Gut Zum eingegebenen Programm SystemTray haben wir folgendes Programm gefunden: SystemTray. Trefferquote: 99 % (Resultate)
O4 - HKLM\\..\\Run: [LoadPowerProfile] Rundll32.exe
powrprof.dll,LoadCurrentPwrScheme Gut Zum eingegebenen Programm LoadPowerProfile haben wir folgendes Programm gefunden: LoadPowerProfile. Trefferquote: 83 % (Resultate)
O4 - HKLM\\..\\Run: [StillImageMonitor] C:\\WINDOWS\\SYSTEM\\STIMON.EXE Gut Zum eingegebenen Programm StillImageMonitor haben wir folgendes Programm gefunden: StillImageMonitor. Trefferquote: 58 % (Resultate)
O4 - HKLM\\..\\Run: [EM_EXEC]
C:\\PROGRA~1\\LOGITECH\\MOUSEW~1\\SYSTEM\\EM_EXEC.EXE Gut Zum eingegebenen Programm EM_EXEC haben wir folgendes Programm gefunden: EM_EXEC. Trefferquote: 58 % (Resultate)
O4 - HKLM\\..\\Run: [mdac_runonce] C:\\WINDOWS\\SYSTEM\\runonce.exe Gut Zum eingegebenen Programm mdac_runonce haben wir folgendes Programm gefunden: RunOnce. Trefferquote: 29 % (Resultate)
O4 - HKLM\\..\\Run: [DMX Mixer] C:\\PROGRAMME\\DMX\\CONTROLPANEL\\DMXMIXER.EXE
/Minimize Gut Zum eingegebenen Programm DMX Mixer haben wir folgendes Programm gefunden: C-Media Mixer. Trefferquote: 39 % (Resultate)
Nicht gefährlich aber unnötig.
O4 - HKLM\\..\\Run: [0190 Warner] C:\\PROGRA~1\\0190WA~1\\WARN0190.EXE Gut Zum eingegebenen Programm 0190 Warner haben wir folgendes Programm gefunden: Warner. Trefferquote: 38 % (Resultate)
O4 - HKLM\\..\\Run: [AVGCtrl] C:\\PROGRAMME\\AVPERSONAL\\AVGCTRL.EXE /min Gut Zum eingegebenen Programm AVGCtrl haben wir folgendes Programm gefunden: AVGCtrl. Trefferquote: 94 % (Resultate)
O4 - HKLM\\..\\Run: [SyncManager] C:\\WINDOWS\\cApp.exe /i Unbekannt Zum eingegebenen Programm SyncManager haben wir folgendes Programm gefunden: Kein. Trefferquote: 5 % (Resultate)
Nicht bekanntes Programm.
[c=red]O4 - HKLM\\..\\Run: [WinAmpAgent] C:\\WINDOWS\\shch.exe /i Gut Zum eingegebenen Programm WinAmpAgent haben wir folgendes Programm gefunden: WinampAgent. Trefferquote: 65 % (Resultate)[/color]
O4 - HKLM\\..\\RunServices: [LoadPowerProfile] Rundll32.exe
powrprof.dll,LoadCurrentPwrScheme Gut Zum eingegebenen Programm LoadPowerProfile haben wir folgendes Programm gefunden: LoadPowerProfile. Trefferquote: 83 % (Resultate)
O4 - HKLM\\..\\RunServices: [Mass Storage Check Registry] rundll32.exe
C:\\WINDOWS\\SYSTEM\\ShellExt\\MSDServ.dll,CheckRegistry Gut Zum eingegebenen Programm Mass Storage Check Registry haben wir folgendes Programm gefunden: Mass storage check registry. Trefferquote: 77 % (Resultate)
Nicht gefährlich aber unnötig.
O4 - HKCU\\..\\Run: [Taskbar Display Controls] RunDLL
deskcp16.dll,QUICKRES_RUNDLLENTRY Gut Zum eingegebenen Programm Taskbar Display Controls haben wir folgendes Programm gefunden: Taskbar Display Controls. Trefferquote: 97 % (Resultate)
Nicht gefährlich aber unnötig.
O4 - HKCU\\..\\Run: [Update Service] C:\\PROGRA~1\\GEMEIN~1\\TEKNUM~1\\UPDATE.EXE
/startup Gut Zum eingegebenen Programm Update Service haben wir folgendes Programm gefunden: Update Service. Trefferquote: 58 % (Resultate)
O4 - Startup: AOL 7.0 Tray-Symbol.lnk = C:\\Programme\\AOL 7.0\\aoltray.exe Gut Zum eingegebenen Programm \'AOL 7.0 Tray-Symbol.lnk (aoltray.exe)\' haben wir folgendes Programm gefunden: \'America Online *.* Tray Icon (aoltray.exe )\'. Trefferquote: 66 % (Resultate)
Nicht gefährlich aber unnötig.
O4 - Startup: Microsoft Office.lnk = C:\\Programme\\Microsoft
Office\\Office\\OSA9.EXE Gut Zum eingegebenen Programm \'Microsoft Office.lnk (OSA9.EXE)\' haben wir folgendes Programm gefunden: \'Microsoft Office (OSA9.EXE)\'. Trefferquote: 93 % (Resultate)
O4 - Startup: Adobe Gamma Loader.lnk = C:\\Programme\\Gemeinsame
Dateien\\Adobe\\Calibration\\Adobe Gamma Loader.exe Gut Zum eingegebenen Programm \'Adobe Gamma Loader.lnk (Adobe Gamma Loader.exe)\' haben wir folgendes Programm gefunden: \'Adobe Gamma Loader (Adobe Gamma Loader.exe )\'. Trefferquote: 91 % (Resultate)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
C:\\WINDOWS\\web\\related.htm Gut Der Eintrag Related wurde als Gut erkannt. Wenn der Eintrag \'Related \' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.
O9 - Extra \'Tools\' menuitem: Show &Related Links -
{c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\\WINDOWS\\web\\related.htm Gut Der Eintrag Show &Related Links wurde als Gut erkannt. Wenn der Eintrag \'Show &Related Links \' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -
C:\\WINDOWS\\SYSTEM\\Shdocvw.dll Gut Der Eintrag Real.com wurde als Gut erkannt. Wenn der Eintrag \'Real.com \' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.
O12 - Plugin for
.de/search?hl=de&q=wood+bliss+1&btnI=Auf+gut+Glück!&meta=lr=lang_de:
C:\\PROGRA~1\\INTERN~1\\PLUGINS\\nppdf32.dll Gut Die meisten Einträge in diesem Abschnitt sind sicher. Nur OnFlow fügt hier ein unerwünschtes Plugin ein. OnFlow-Plugins haben die Erweiterung *.ofb.
O12 - Plugin for .pdf: C:\\PROGRA~1\\INTERN~1\\PLUGINS\\nppdf32.dll Gut Die meisten Einträge in diesem Abschnitt sind sicher. Nur OnFlow fügt hier ein unerwünschtes Plugin ein. OnFlow-Plugins haben die Erweiterung *.ofb.
O14 - IERESET.INF: START_PAGE_URL=
http://www.lycos.de/ Gut Handelt es sich bei diesen Einträgen nicht um die Adresse des PC-Händlers oder des \'Internet-Service-Provider (ISP)\', sollten diese Einträge mit HijackThis gefixt werden.
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) -
http://tools.ebayimg.com/eps/activex/EP ... _v1-32.cab Gut Dieser Eintrag wurde als Gut identifiziert!
[c=darkblue]Gute Nacht und Danke für die Mühe,
tut[/color]